作者KeyFSN ( ~☼☽✩☁~ )
看板Soft_Job
标题Re: [请益] 怎样的登入介面才是最安全的?
时间Mon Jan 25 07:20:24 2021
这位兄台讲到了一个很重要的关键, 容我补充一些实务上的细节
※ 引述《KanzakiHAria (神崎・H・アリア)》之铭言:
: ※ 引述《red0whale (red whale)》之铭言:
: : 现在的什麽Google Chrome还是什麽Firefox之类的主流浏览器
: : 虽然看起来就是有名大公司生产的浏览器产品
: Firefox是自由软体起家的
: : 但也不能保证我们使用他们的浏览器连上网,在每个网页键入的每一个字、上传及下载的每一张图片和档案
: : 都不会被记录进他们公司内部的伺服器内
: : 也就是说,搞不好你用Chrome登入像是Facebook界面时,输入的帐号密码,键入的每一个字Google他们都会给你记录得一清二楚
: 你可以看firefox source code 这样就知道会不会连输入错字都被上传
首先你遇到的第一个问题就是: Fiefox 的 codebase 太过庞大, 以一人之力想要维护所
有的模块根本不切实际
於是呢—
你就找了几个志同道合的好朋友, 每个人根据各自的专长分别负责某些区块
但是呢—
你发现不光只是 Firefox 的 codebase, 还有 Firefox 的各种 dependency 也可能存在
风险
於是呢—
你又找了一批人, 让他们负责检查各种被引入的 dependency 都是安全的
但是呢—
你又发现, 程式码光用看的是不够的, 很多 bug 只有透过测试才能发现
於是呢—
你又又找了一批人, 让他们负责写各种 unit tests, integration tests, E2E tests...
但是呢—
你又又发现光靠自己找 bug 也是不够的, 每个月 CVE 都会公布各种稀奇古怪的新漏洞
於是呢—
你又又又找了一批人, 让他们负责定期修补最新发现的漏洞
但是呢—
你又又又发现参与这个专案的人已经太多, 没办法有效率的管理所有事情
於是呢—
你又又又又找了一批人, 成立基金会, 把所有人组织化
但是呢—
你又又又又发现其实不需要什麽事情都光靠自己, 社群的力量是很大的!
於是呢—
你又又又又又决定把目前的所有成果全部开源, 让有共同目标的人都可以一起参与, 并将
这个 project 命名为 IceFox!
...
...
...
那这跟 FireFox 到底有什麽不一样!!
: : 即便你在输入途中打错了一个字而去修正,搞不好Google连这也都知道呢
: 不放心的话自己载 firefox source code自己build
: : 所以要达到安全的输入和输出界面,我们是不是尽量不要用开发网站的形式给大众登入和输入私密资料以及传送私密资讯给大众?
: : 否则我们的一举一动都可能被Google还是什麽Mozilla之类的浏览器公司记录起来并让他们给知道了?
: : 如果我们的登入界面或什麽较私密的资讯呈现都不用网页形式开发而改用自行开发APP来让大众输入资料和将资讯输出给大众
: : 那使用者使用的那个作业系统例如Windows、Linux、Android什麽的在有连网的情况下不也都有可能会利用类似的方式知道这些私密资料及资讯吗?
: 同上,你可以看linux source code 看它有没有纪录你的东西上传
: : (毕竟我们开发的APP所执行的OS环境也是别的公司开发的,他们也都还是有能力把使用者输入的任何资料和呈现给使用者的资讯传送到他们的伺服器内)
: : 这样岂不是也不安全吗?
: : 为了达到终极的安全,我们是不是要使出杀手鐧,自行开发一套作业系统
: : 开发了自己的作业系统後,并在自己的作业系统上再开发自己的APP,才能真的保证所有资料和资讯输入、输出及传递的安全?
: 同上,不放心的话自己载linux source code自己build
: : 否则不管是用开发网站的形式还是开发现在主流OS的APP多少都有安全上的疑虑吧?
: build不放心的话你可以反组译你的compiler看它有没有偷塞code
: : 我知道大概又会有人看不下去想嘘我了
: : 不过我要问的就是这样
: : 也许我的问题里有什麽盲点可能我自己也不知道
: 安全靠自己 不求人 自己看code自己build
: : 鉴於我的才疏学浅
: : 问题中如有任何谬误或误解之处
: : 敬请多多指教
: 你提了open source的linux和firefox 却没提mac这种比windows/andoird更封闭的系统
: 你八成是果粉 建议你还是用mac pro最安心 不用谢
--
◢████◤◢███◤ ╭═╮
◢████◤◢███◤ ║˙║
◢█████ ████ < ˙║
▉█ ▉◤
█ ████ ║˙║
◢▇▇██
██
█████
◢ ╰═╯
████◤
█◤
████◢
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 76.22.26.68 (美国)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Soft_Job/M.1611530461.A.8B0.html
1F:嘘 B0988698088: 所以你想表达什麽 01/25 10:59
2F:推 sherees: 看到一半有猜到结果XDD 01/25 11:01
3F:→ TakiDog: 一开始出发点是改善对方缺点 loooop 01/26 05:10
4F:→ leo5916267: 要考虑的事情太多不如就放弃吧 01/26 16:53
5F:→ kiru000: 我都叫PornFox 01/26 20:27
6F:推 viper9709: 推最後一句XD 01/27 00:49
7F:→ blc: 保持怀疑是好事,因为查不了就无条件接受有点莫名 01/27 02:18